|
|
以下の節では、Oracle Communications Converged Application Server セキュリティの概要について説明します。
Oracle Communications Converged Application Server のユーザは、デプロイされた SIP サーブレット内の保護されたメソッドなど、保護されたリソースへのアクセスを要求するときは常に認証を受ける必要があります。Oracle Communications Converged Application Server では、以下のような手法を使って SIP サーブレットのユーザ認証を実装できます。
Authorization SIP ヘッダを使用してユーザ名とパスワードを SIP サーブレットに送信します。Basic 認証は RFC 3261 で廃止されており、プロダクション システムでは推奨できません。このドキュメントには、基本認証を使用するためのコンフィグレーション手順の説明はありません。
Oracle Communications Converged Application Server 上にデプロイされる SIP サーブレットごとに、必要に応じて別々の認証メカニズムを使うことができます。必要な認証メカニズムは、SIP サーブレットの sip.xml デプロイメント記述子の auth-method 要素で指定します。デプロイメント記述子では、どのリソースを保護するかを定義し、アクセスに必要な特定のロール名を列挙することもできます。SIP サーブレット v1.1 仕様では、アプリケーションで必要なまたはサポート対象のレルム名と Id アサーション メカニズムを指定する能力を紹介します。
SIP サーブレット デプロイメント記述子でリソースを保護し、ロールをマップする方法については、『SIP アプリケーションの開発』の「SIP Servlet リソースのセキュリティ」を参照してください。Servlet 認証および Id アサーション メカニズムの定義については、SIP サーブレット v1.1 仕様を参照してください。
Oracle Communications Converged Application Server の認証サービスは、1 つまたは複数の認証プロバイダを使って実装されます。認証プロバイダは、ユーザやシステム プロセスの ID を証明した後、ID 情報をシステムの他のコンポーネントに送信する働きをします。
複数の認証プロバイダを使用して、別々の認証方式を使うようにコンフィグレーションすることも、連携して認証を行うようにコンフィグレーションすることもできます。たとえばダイジェスト認証を使用する場合、通常はダイジェストの有効性をアサートするダイジェスト ID アサーション プロバイダと、検証済みのユーザのグループ メンバシップを判断する LDAP または RDBMS 認証プロバイダの両方をコンフィグレーションします。
複数の認証プロバイダを連携させる場合は、プロバイダがユーザを評価する順序を指定し、さらに各プロバイダが認証プロセスをどの程度制御するかを指定する必要があります。各プロバイダは、そのユーザを有効と判断するかどうかを表明する「投票」を行うことができます。プロバイダの制御フラグは、プロバイダの投票が認証プロセスでどのように使われるかを示します。
プロバイダのコンフィグレーションの詳細については、「ダイジェスト認証のコンフィグレーション」または「Client-Cert 認証のコンフィグレーション」を参照してください。
Oracle Communications Converged Application Server では、システムにとって信頼できるホストを指定することもできます。信頼できるホストとは、Oracle Communications Converged Application Server が何も認証を行わないホストのことです。コンフィグレーションされている信頼できるホスト名と一致する宛先アドレスを含む SIP メッセージを受け取った場合、サーバは認証なしでメッセージを配信します。詳細については、『コンフィグレーション リファレンス マニュアル』の「sip-security」も参照してください。
Oracle Communications Converged Application Server では、RFC3325 で規定されている P-Asserted-Identity SIP ヘッダがサポートされています。この機能では、信頼できるホストから送られてきた場合に、P-Asserted-Identity ヘッダで指定された資格を使って自動的にログインを行います。privacy ヘッダと P-Asserted-Identity の組み合わせにより、メッセージを信頼できるホストや信頼できないホストに転送できるかどうかも決まります。
Oracle Communications Converged Application Server では、RFC 4474 で規定されている Identity および Identity-Info ヘッダを使用して、Id アサーションがサポートされています。
両方の Id アサーション メカニズムでは、Oracle Communications Converged Application Server との適当なセキュリティ プロバイダをコンフィグレーションする必要があります。詳細については、「SIP サーブレットの ID アサーションのコンフィグレーション」を参照してください。
SIP サーブレット API 仕様では、SIP サーブレットの宣言型セキュリティおよびプログラムに基づくセキュリティの提供に使用できるデプロイメント記述子要素のセットを定義します。セキュリティ制約を宣言する主な方法は、sip.xml デプロイメント記述子で 1 つまたは複数の security-constraint 要素とロール定義を指定することです。Oracle Communications Converged Application Server では、開発者が SIP サーブレットのロールを、SIP サーブレット コンテナでコンフィグレーションされた実際のプリンシパルやロールに容易にマップできるように、デプロイメント記述子の要素が追加されています。詳細については、『SIP アプリケーションの開発』の「SIP サーブレット リソースのセキュリティ」を参照してください。
Oracle Communications Converged Application Server に用意されている監査プロバイダをコンフィグレーションすると、セキュリティ レルム内の認証イベントをモニタすることができます。詳細については、Oracle WebLogic Server 10g Release 3 ドキュメントの「WebLogic 監査プロバイダのコンフィグレーション」を参照してください。
表 1-1 は、Oracle Communications Converged Application Server のコンフィグレーション タスクと、追加情報へのリンクを示しています。
  
|